Während meiner Arbeit bin ich immer wieder in Kontakt mit verschiedenen Softwarelösungen zum Risikomanagement gekommen. Anbei ein paar Beispiele:
CRISAM, https://www.calpana.com
I-DOIT, https://www.i-doit.com
QSEC, https://wmc-direkt.de
RISK TO CHANCE, https://grc.schleupen.de
SAP GRC, https://www.sap.com
VERINICE, https://verinice.com
etc.
Auf dem Markt gibt es eine Vielzahl an Lösungen und damit Sie sich Ihre eigene fundierte Meinung bilden sowie das für Ihren Bedarf beste Produkt identifizieren können, möchte ich Ihnen folgendes an die Hand geben:
Eine gute Lösung zum Risikomanagement erkennen Sie daran, dass Sie Ihnen die Arbeit erleichtert und nicht erschwert oder gar verkompliziert. Sie sollte Standards vollständig abbilden und darauf ausgelegt sein, dass nicht nur eine Person die Risiken erfasst, bewertet und behandelt. Um dies gewährleisten zu können, muss Sie auch ohne Fachkenntnisse im Risikomanagement bedient werden und mittels eines vereinfachten sowie leicht verständlichen Workflows alle relevanten Informationen vom Asset Owner abfragen können.
Ferner ist es empfehlenswert bei der Auswahl immer stets an die Unterschiede zwischen dem Enterprise Risk Management, Information Security Risk Management und IT Risk Management zu denken. Stark vereinfacht gesagt geht es bei allen ums Risikomanagement, jedoch mit unterschiedlichen Brennweiten und Detaillierungen:
Enterprise Risk Management | Information Security Risk Management | IT Security Risk Management |
 |  |  |
Assets/Prozesse auf oberster Ebene: (Risiken stark aggregiert, quantitativ.) - IT Services etc. | Assets/Prozesse auf mittlerer Ebene: (Risiken aggregiert, quantitativ.) - AD Servers - DB Servers - DMZ Servers etc. | Assets/Prozesse auf unterster Ebene: (Risiken granular, qualitativ.) - HAM-AD-SRV-001 - HAM-AD-SRV-002 - HAM-AD-SRV-003 - HAM-AD-SRV-004 - HAM-AD-SRV-005 - HAM-DB-SRV-001 - HAM-DB-SRV-002 - HAM-DB-SRV-003 - HAM-DMZ-SRV-001 - HAM-DMZ-SRV-002 etc. |
Wie bereits erwähnt ist diese Vereinfachung nicht repräsentativ, aber sie trifft trotzdem oft zu. Jeder Ansatz hat seine eigene Daseinsberechtigung und erfüllt einen Zweck. Es hat Vorteile nicht nur auf einer vereinfachten Ebene die Risiken zu erfassen und zu bewerten, denn ein Server im Internet besitzt immer eine andere Risikodisposition als ein Server im Unternehmensnetzwerk. Um also nicht Gefahr zu laufen relevante Risiken zu übersehen, ist eine gewissenhafte Bildung der Asset-Gruppen zwingend erforderlich. Eine Gruppierung ist nur dann empfehlenswert, wenn die betreffenden Assets...
vom gleichen Typ sind,
ähnliche Aufgaben haben,
ähnlichen Rahmenbedingungen unterliegen und
den gleichen Schutzbedarf aufweisen.
Bei technischen Assets bietet sich die Gruppierung immer dann an, wenn sie...
ähnlich konfiguriert sind,
ähnlich in das Netz eingebunden sind (z.B. im gleichen Netzsegment) und
ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen,
ähnliche Anwendungen bedienen und
den gleichen Schutzbedarf aufweisen.
(Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html / Linkdatum: 11.08.2024)
